Security Hub 中的 NIST SP 800-53 第 5 版

NIST 特别出版物 800-53 Rev. 5（NIST SP 800-53 Rev. 5）是由美国商务部下属机构美国国家标准与技术研究院 (NIST) 开发的网络安全和合规框架。该合规框架为信息系统和关键资源的机密性、完整性和可用性提供了一系列安全和隐私要求。美国联邦政府机构和承包商必须遵守这些要求以保护其系统和组织。私人组织也可以自愿使用这些要求作为降低网络安全风险的指导框架。有关框架及其要求的更多信息，请参阅 NIST 计算机安全资源中心的 NIST SP 800-53 Rev. 5。

Amazon Security Hub 提供了支持 NIST SP 800-53 修订版 5 要求的部分安全控件。这些控件会对某些 Amazon Web Services 服务资源执行自动安全检查。要启用和管理这些控件，您可以在 Security Hub 中启用 NIST SP 800-53 修订版 5 框架作为标准配置。请注意，控件不支持需要手动检查的 NIST SP 800-53 修订版 5 要求。

与其他框架不同，NIST SP 800-53 Revist 5 框架没有规定如何评估其需求。相反，该框架提供了指导方针。在 Security Hub 中，NIST SP 800-53 修订版 5 标准和控件代表了服务对这些指南的理解。

为适用于该标准的控件配置资源记录

要优化覆盖范围和结果的准确性，在中启用 NIST SP 800-53 修订版 5 标准 Amazon Config 之前，务必在中启用和配置资源记录。 Amazon Security Hub配置资源记录时，还要确保为通过适用于标准的控件检查的所有类型的 Amazon 资源启用资源记录。这主要适用于具有更改触发计划类型的控件。但是，某些具有定期计划类型的控件也需要资源记录。如果未正确启用或配置资源记录，Security Hub 可能无法评估适当的资源，也无法为适用于该标准的控件生成准确的结果。

有关 Security Hub 如何在中使用资源记录的信息 Amazon Config，请参阅为 Security Hub 启用和配置 Amazon Config。有关在中配置资源记录的信息 Amazon Config，请参阅《Amazon Config 开发人员指南》中的使用配置记录器。

下表指定了 Security Hub 中适用于 NIST SP 800-53 Revious 5 标准的控件要记录的资源类型。

Amazon Web Services 服务	资源类型
Amazon API Gateway	`AWS::ApiGateway::Stage`, `AWS::ApiGatewayV2::Stage`
Amazon AppSync	`AWS::AppSync::GraphQLApi`
Amazon Backup	`AWS::Backup::RecoveryPoint`
Amazon Certificate Manager (ACM)	`AWS::ACM::Certificate`
Amazon CloudFormation	`AWS::CloudFormation::Stack`
Amazon CloudFront	`AWS::CloudFront::Distribution`
Amazon CloudWatch	`AWS::CloudWatch::Alarm`
Amazon CodeBuild	`AWS::CodeBuild::Project`
Amazon Database Migration Service (Amazon DMS)	`AWS::DMS::Endpoint`, `AWS::DMS::ReplicationInstance`, `AWS::DMS::ReplicationTask`
Amazon DynamoDB	`AWS::DynamoDB::Table`
Amazon Elastic Compute Cloud EC2	`AWS::EC2::ClientVpnEndpoint`, `AWS::EC2::EIP`, `AWS::EC2::Instance`, `AWS::EC2::LaunchTemplate`, `AWS::EC2::NetworkAcl`, `AWS::EC2::NetworkInterface`, `AWS::EC2::SecurityGroup`, `AWS::EC2::Subnet`, `AWS::EC2::TransitGateway`, `AWS::EC2::VPNConnection`, `AWS::EC2::Volume`
Amazon A EC2 uto Scaling	`AWS::AutoScaling::AutoScalingGroup`, `AWS::AutoScaling::LaunchConfiguration`
Amazon Elastic Container Registry（Amazon ECR）	`AWS::ECR::Repository`
Amazon Elastic Container Service（Amazon ECS）	`AWS::ECS::Cluster`, `AWS::ECS::Service`, `AWS::ECS::TaskDefinition`
Amazon Elastic File System（Amazon EFS）	`AWS::EFS::AccessPoint`
Amazon Elastic Kubernetes Service（Amazon EKS）	`AWS::EKS::Cluster`
Amazon Elastic Beanstalk	`AWS::ElasticBeanstalk::Environment`
Elastic Load Balancing	`AWS::ElasticLoadBalancing::LoadBalancer`, `AWS::ElasticLoadBalancingV2::Listener`, `AWS::ElasticLoadBalancingV2::LoadBalancer`
Amazon ElasticSearch	`AWS::Elasticsearch::Domain`
Amazon EMR	`AWS::EMR::SecurityConfiguration`
Amazon EventBridge	`AWS::Events::Endpoint`, `AWS::Events::EventBus`
Amazon Glue	`AWS::Glue::Job`
Amazon Identity and Access Management (IAM)	`AWS::IAM::Group`, `AWS::IAM::Policy`, `AWS::IAM::Role`, `AWS::IAM::User`
Amazon Key Management Service (Amazon KMS)	`AWS::KMS::Alias`, `AWS::KMS::Key`
Amazon Kinesis	`AWS::Kinesis::Stream`
Amazon Lambda	`AWS::Lambda::Function`
Amazon Managed Streaming for Apache Kafka (Amazon MSK)	`AWS::MSK::Cluster`
Amazon MQ	`AWS::AmazonMQ::Broker`
Amazon Network Firewall	`AWS::NetworkFirewall::Firewall`, `AWS::NetworkFirewall::FirewallPolicy`, `AWS::NetworkFirewall::RuleGroup`
亚马逊 OpenSearch 服务	`AWS::OpenSearch::Domain`
Amazon Relational Database Service (Amazon RDS)	`AWS::RDS::DBCluster`, `AWS::RDS::DBClusterSnapshot`, `AWS::RDS::DBInstance`, `AWS::RDS::DBSnapshot`, `AWS::RDS::EventSubscription`
Amazon Redshift	`AWS::Redshift::Cluster`, `AWS::Redshift::ClusterSubnetGroup`
Amazon Route 53	`AWS::Route53::HostedZone`
Amazon Simple Storage Service（Amazon S3）	`AWS::S3::AccessPoint`, `AWS::S3::AccountPublicAccessBlock`, `AWS::S3::Bucket`
Amazon Service Catalog	`AWS::ServiceCatalog::Portfolio`
Amazon Simple Notiﬁcation Service (Amazon SNS)	`AWS::SNS::Topic`
Amazon Simple Queue Service(Amazon SQS)	`AWS::SQS::Queue`
Amazon S EC2 ystems Manager（SSM）	`AWS::SSM::AssociationCompliance`, `AWS::SSM::ManagedInstanceInventory`, `AWS::SSM::PatchCompliance`
亚马逊 SageMaker AI	`AWS::SageMaker::NotebookInstance`
Amazon Secrets Manager	`AWS::SecretsManager::Secret`
Amazon Transfer Family	`AWS::Transfer::Connector`
Amazon WAF	`AWS::WAF::Rule`, `AWS::WAF::RuleGroup`, `AWS::WAF::WebACL`, `AWS::WAFRegional::Rule`, `AWS::WAFRegional::RuleGroup`, `AWS::WAFRegional::WebACL`, `AWS::WAFv2::RuleGroup`, `AWS::WAFv2::WebACL`

确定哪些控件适用于该标准

以下列表列出了支持 NIST SP 800-53 修订版 5 要求并适用于中的 NIST SP 800-53 修订版 5 标准的控件。 Amazon Security Hub有关控件支持的特定要求的详细信息，请选择该控件。然后参阅控件详细信息中的 “相关要求” 字段。此字段指定控件支持的每个 NIST 要求。如果该字段未指定特定的 NIST 要求，则该控件不支持该要求。

Javascript 在您的浏览器中被禁用或不可用。

要使用 Amazon Web Services 文档，必须启用 Javascript。请参阅浏览器的帮助页面以了解相关说明。

CIS Amazon 基金会基准

NIST SP 800-171 第 2 版